Frage Nach einem Root-Kompromiss neu installieren?


Nach dem Lesen Diese Frage zu einem Server-KompromissIch begann mich zu fragen, warum die Leute immer noch zu glauben scheinen, dass sie ein kompromittiertes System mithilfe von Erkennungs- / Bereinigungstools wiederherstellen können, oder indem sie einfach das Loch reparieren, mit dem das System kompromittiert wurde.

Angesichts all der verschiedenen Root-Kit-Technologien und anderer Dinge, die ein Hacker tun kann, empfehlen die meisten Experten, dass Sie das tun sollten Installieren Sie das Betriebssystem neu.

Ich hoffe, eine bessere Idee zu bekommen, warum mehr Leute nicht einfach abheben und Kernwaffe das System aus dem Orbit.

Hier sind ein paar Punkte, die ich gerne angesprochen sehen möchte.

  • Gibt es Bedingungen, unter denen ein Format / Neuinstallation das System nicht bereinigen würde?
  • Unter welchen Bedingungen können Sie ein System reinigen und wann müssen Sie eine vollständige Neuinstallation durchführen?
  • Welche Gründe haben Sie gegen eine vollständige Neuinstallation?
  • Wenn du dich entscheidest, dich nicht neu zu installieren, welche Methode benutzt du, um einigermaßen sicher zu sein, dass du gereinigt hast und verhindert hast, dass weitere Schäden wieder auftreten.

56
2018-05-08 09:32


Ursprung




Antworten:


Eine Sicherheitsentscheidung ist letztendlich eine Geschäftsentscheidung über das Risiko, genau wie eine Entscheidung darüber, welches Produkt auf den Markt gebracht werden soll. Wenn Sie es in diesem Kontext einrahmen, ist die Entscheidung, nicht zu leveln und neu zu installieren, sinnvoll. Wenn Sie es streng aus technischer Sicht betrachten, tut es das nicht.

Hier ist, was typischerweise in diese Geschäftsentscheidung einfließt:

  • Wie viel kostet uns unsere Ausfallzeit in messbarer Menge?
  • Wie viel wird es uns kosten, wenn wir den Kunden ein wenig darüber aufklären müssen, warum wir nicht mehr da sind?
  • Welche anderen Aktivitäten werde ich durchführen müssen, um die Neuinstallation durchzuführen? Was kostet es?
  • Haben wir die richtigen Leute, die wissen, wie man das System fehlerfrei aufruft? Wenn nicht, was kostet es mich, Fehler zu beheben?

Wenn Sie also die Kosten wie diese aufaddieren, kann davon ausgegangen werden, dass es besser ist, mit einem "potenziell" noch kompromittierten System fortzufahren, als das System neu zu installieren.


30
2018-05-08 09:58



Bitte nehmen Sie sich etwas Zeit und lesen Sie Richard Bejtlichs exzellenten Post zu "Billige IT ist letztlich teuer" Um zusammenzufassen, "Es ist nicht billiger, kompromittierte Systeme innerhalb des Unternehmens zu betreiben, weil der" Produktivitätseinbruch "auftritt, wenn ein System unterbrochen werden muss, um eine Sicherheitsanalyse zu ermöglichen." - Josh Brower
Ich habe eine Weile darüber nachgedacht und kann keinen Grund finden, warum es sinnvoller wäre, ein System einzusetzen, das wahrscheinlich kompromittiert wird. - duffbeer703
Ich möchte kein System bereitstellen oder online halten, von dem ich weiß, dass es kompromittiert wurde. Aber das bin ich als Techniker. Und ich stimme Bejtlich nicht zu, denn während er sagt, dass es sich um eine Verlustverhütung handelt, werden sie von der Wirtschaft nicht als solche behandelt. Das Unternehmen betrachtet es aus Risikoperspektive und zu Recht. Zum Beispiel können sie sich auf eine Versicherung verlassen, um sie im Falle eines Rechtsstreits zu decken und so mit dem Risiko umzugehen. Und Richard wägt das nicht in seine Argumentation ein. Ich habe nicht gesagt, dass ich mit diesem Denken übereinstimme, aber das ist der Grund, warum Sie das verstehen, und darum hat sich das OP erkundigt. - K. Brian Kelley
Mit Bejtilich stimme ich auch in gewissem Maße überein, aber lassen Sie mich zumindest seinen letzten Kommentar zitieren, weil er dieser Diskussion eine weitere Dimension hinzufügt: "Risiko messen" ist ein Witz. Das Messen von Verlust ist meistens unmöglich. (Sagen Sie mir, wie viel Sie verlieren, wenn ein Wettbewerber Ihre Daten stiehlt, um ihre Produkte in den nächsten 10 Jahren zu verbessern). Die Messung von Kosten ist die wahrscheinlichste Methode, um vertrauenswürdige Ergebnisse zu erzielen, da Sie Geld aus dem Unternehmen verfolgen können in diesem Beitrag. Ich würde gerne Verluste messen, aber es wird keine echten Zahlen ergeben. Risiko zu messen ist eine riesige Vermutung. " - Josh Brower
... und doch basiert unser gesamtes Versicherungsgewerbe und unser Zivilgerichtssystem auf der Messung von Risiken und dem Setzen von Dollarwerten auf Verluste. Also anscheinend dieser Ansatz ist akzeptabel für die Verantwortlichen. - Brian Knoblauch


Basierend auf einem Post I schrieb vor Ewigkeiten zurück, als ich mich noch um ein Blog kümmern konnte.

Diese Frage wird immer wieder von den Opfern von Hackern gestellt, die in ihren Webserver einbrechen. Die Antworten ändern sich sehr selten, aber die Leute stellen immer wieder die Frage. Ich bin mir nicht sicher warum. Vielleicht mögen die Leute einfach nicht die Antworten, die sie bei der Suche nach Hilfe gesehen haben, oder sie können nicht jemanden finden, dem sie vertrauen, um ihnen Ratschläge zu geben. Oder vielleicht lesen die Leute eine Antwort auf diese Frage und konzentrieren sich zu sehr auf die 5%, warum ihr Fall anders ist als die Antworten, die sie online finden können, und vermissen die 95% der Frage und antworten, wo ihr Fall nahe genug ist als derjenige, den sie online lesen.

Das bringt mich zu der ersten wichtigen Informationsquelle. Ich schätze wirklich, dass Sie eine spezielle einzigartige Schneeflocke sind. Ich weiß es zu schätzen, dass es auch Ihre Website ist, da es sich um Sie und Ihr Unternehmen oder zumindest Ihre harte Arbeit im Namen eines Arbeitgebers handelt. Aber für jemanden von außen, der hereinschaut, ob ein Computer-Sicherheitsmensch das Problem anschaut, um Ihnen oder dem Angreifer selbst zu helfen, ist es sehr wahrscheinlich, dass Ihr Problem zu mindestens 95% mit jedem anderen Fall identisch ist jemals angeschaut.

Nehmen Sie den Angriff nicht persönlich, und nehmen Sie nicht die Empfehlungen, die hier folgen oder die Sie von anderen Menschen persönlich erhalten. Wenn Sie dies lesen, nachdem Sie Opfer eines Website-Hack geworden sind, dann tut es mir wirklich leid, und ich hoffe wirklich, dass Sie hier etwas hilfreiches finden können, aber dies ist nicht die Zeit, Ihr Ego in die Quere zu bringen, was Sie brauchen tun.

Sie haben gerade herausgefunden, dass Ihre Server gehackt wurden. Was jetzt?

Keine Panik. Absolut nicht in Eile handeln, und absolut nicht versuchen, so zu tun, als wären die Dinge nie passiert, und überhaupt nicht handeln.

Erstens: Verstehen Sie, dass das Desaster bereits eingetreten ist. Dies ist nicht die Zeit der Verleugnung; Es ist an der Zeit, zu akzeptieren, was passiert ist, realistisch zu sein und Maßnahmen zu ergreifen, um die Folgen der Auswirkungen zu bewältigen.

Einige dieser Schritte werden weh tun und (es sei denn, Ihre Website enthält eine Kopie meiner Daten) ist es mir wirklich egal, ob Sie alle oder einige dieser Schritte ignorieren, aber wenn Sie dies tun, werden Sie am Ende die Dinge verbessern. Die Medizin mag schrecklich schmecken, aber manchmal muss man das übersehen, wenn man wirklich will, dass das Heilmittel wirkt.

Verhindern Sie, dass das Problem schlimmer wird, als es bereits ist:

  1. Als erstes sollten Sie die betroffenen Systeme vom Internet trennen. Was auch immer Sie für Probleme haben, wenn Sie das System mit dem Internet verbinden, wird der Angriff nur fortgesetzt. Ich meine das ganz wörtlich. jemanden dazu bringen, den Server physisch zu besuchen und Netzwerkkabel zu entfernen, wenn das nötig ist, aber das Opfer von seinen Räubern trennen, bevor Sie versuchen, etwas anderes zu tun.
  2. Ändern Sie alle Ihre Kennwörter für alle Konten auf allen Computern, die sich im selben Netzwerk wie die kompromittierten Systeme befinden. Nicht wirklich. Alle Konten. Alle Computer. Ja, du hast recht, das könnte übertrieben sein; Auf der anderen Seite könnte es nicht sein. Du weißt doch nicht, oder?
  3. Überprüfen Sie Ihre anderen Systeme. Achten Sie besonders auf andere Internetdienste und auf solche, die finanzielle oder andere kommerziell sensible Daten enthalten.
  4. Wenn das System persönliche Daten von jemandem enthält, machen Sie eine vollständige und offenherzige Offenlegung für alle potentiell Betroffenen auf einmal. Ich weiß, das ist hart. Ich weiß, das wird weh tun. Ich weiß, dass viele Unternehmen dieses Problem unter den Teppich kehren wollen, aber ich befürchte, dass Sie sich damit auseinandersetzen müssen.

Hast du noch gezögert, diesen letzten Schritt zu machen? Ich verstehe, ich tue es. Aber sieh es dir so an:

An manchen Orten haben Sie möglicherweise eine gesetzliche Verpflichtung, die Behörden und / oder die Opfer solcher Datenschutzverletzungen zu informieren. So verärgert Ihre Kunden auch sein mögen, wenn Sie ihnen von einem Problem erzählen, werden sie viel ärgerlicher sein, wenn Sie es ihnen nicht sagen, und sie finden es erst heraus, wenn jemand Waren im Wert von 8.000 Dollar mit den Kreditkartendetails verlangt gestohlen von Ihrer Website.

Erinnerst du dich, was ich vorher gesagt habe? Das Schlimme ist schon passiert. Die einzige Frage ist jetzt, wie gut Sie damit umgehen.

Verstehen Sie das Problem vollständig:

  1. Stellen Sie die betroffenen Systeme NICHT wieder online, bis diese Phase vollständig abgeschlossen ist, es sei denn, Sie möchten die Person sein, deren Beitrag der entscheidende Punkt war, an dem ich mich entschied, diesen Artikel zu schreiben. Ich verbinde nicht mit der Post, damit die Leute ein billiges Lachen bekommen können; Ich verlinke Sie, um Sie vor den Folgen zu warnen, wenn Sie diesem ersten Schritt nicht folgen.
  2. Untersuchen Sie die "angegriffenen" Systeme, um zu verstehen, wie die Angriffe Ihre Sicherheit gefährdet haben. Machen Sie alles, um herauszufinden, woher die Angriffe stammen, damit Sie verstehen, welche Probleme Sie haben und beheben müssen, um Ihr System in Zukunft sicher zu machen.
  3. Untersuchen Sie die "angegriffenen" Systeme erneut, um zu verstehen, wohin die Angriffe gingen, damit Sie verstehen, welche Systeme bei dem Angriff kompromittiert wurden. Stellen Sie sicher, dass Sie Hinweise befolgen, die darauf hindeuten, dass kompromittierte Systeme zu einem Sprungbrett werden könnten, um Ihre Systeme weiter anzugreifen.
  4. Stellen Sie sicher, dass die bei allen Angriffen verwendeten "Gateways" vollständig verstanden werden, sodass Sie sie möglicherweise ordnungsgemäß schließen können. (Wenn beispielsweise Ihre Systeme durch einen SQL-Injection-Angriff kompromittiert wurden, müssen Sie nicht nur die fehlerhafte Codezeile schließen, in der sie eingedrungen sind, sondern auch den gesamten Code, um festzustellen, ob der gleiche Fehler vorliegt wurde woanders gemacht).
  5. Verstehe, dass Angriffe aufgrund von mehr als einem Fehler erfolgreich sein können. Oft gelingt es den Angriffen nicht, einen großen Fehler in einem System zu finden, sondern mehrere (manchmal geringfügige und triviale) Probleme zusammenzufassen, um ein System zu kompromittieren. Wenn Sie beispielsweise mithilfe von SQL-Injection-Angriffen Befehle an einen Datenbankserver senden, wird die Website / Anwendung, die Sie angreifen, im Kontext eines administrativen Benutzers ausgeführt, und die Rechte dieses Kontos werden als Ausgangspunkt für die Kompromittierung anderer Teile verwendet ein System. Oder wie Hacker es gerne nennen: "Ein weiterer Tag im Büro nutzt die häufigen Fehler, die Menschen machen".

Machen Sie einen Plan für die Wiederherstellung und bringen Sie Ihre Website wieder online und bleiben Sie dabei:

Niemand möchte länger offline sein, als es sein muss. Das ist eine gegebene. Wenn diese Website ein gewinnbringender Mechanismus ist, wird der Druck, sie schnell wieder online zu bringen, intensiv sein. Selbst wenn das einzige, was auf dem Spiel steht, der Ruf Ihres / Ihres Unternehmens ist, erzeugt dies immer noch einen großen Druck, die Dinge schnell wieder in Gang zu bringen.

Aber geben Sie sich nicht der Versuchung hin, zu schnell wieder online zu gehen. Ziehe dich stattdessen so schnell wie möglich an, um zu verstehen, was das Problem verursacht hat und um es zu lösen, bevor du wieder online bist, sonst wirst du mit Sicherheit erneut Opfer eines Angriffs werden und dich erinnern: "einmal gehackt zu werden kann als Unglück eingestuft werden; später wieder gehackt zu werden, sieht nachlässig aus. "(mit Entschuldigung an Oscar Wilde).

  1. Ich gehe davon aus, dass Sie alle Probleme verstanden haben, die zu dem erfolgreichen Eindringen geführt haben, bevor Sie diesen Abschnitt überhaupt beginnen. Ich möchte den Fall nicht überbewerten, aber wenn Sie das nicht zuerst getan haben, dann müssen Sie wirklich. Es tut uns leid.
  2. Zahlen Sie niemals Erpressungs- / Schutzgeld. Dies ist das Zeichen für eine einfache Markierung und Sie möchten nicht, dass diese Phrase jemals verwendet wird, um Sie zu beschreiben.
  3. Seien Sie nicht versucht, dieselben Server ohne eine vollständige Neuerstellung wieder online zu stellen. Es sollte viel schneller sein, eine neue Box zu bauen oder den Server aus der Umlaufbahn zu nehmen und eine saubere Installation auf der alten Hardware durchzuführen, als jede einzelne Ecke des alten Systems zu überprüfen, um sicherzustellen, dass es sauber ist, bevor es wieder zurückgelegt wird wieder online. Wenn Sie damit nicht einverstanden sind, wissen Sie wahrscheinlich nicht, was es wirklich bedeutet, um sicherzustellen, dass ein System vollständig bereinigt wird, oder Ihre Website-Bereitstellungsprozeduren sind ein unheilvolles Durcheinander. Vermutlich haben Sie Backups und Testimplementierungen Ihrer Site, die Sie einfach zum Erstellen der Live-Site verwenden können. Wenn Sie dann nicht gehackt werden, ist das nicht Ihr größtes Problem.
  4. Seien Sie sehr vorsichtig bei der Wiederverwendung von Daten, die zum Zeitpunkt des Hacks auf dem System "live" waren. Ich werde nicht sagen: "Mach es nie", weil du mich einfach ignorierst, aber ehrlich gesagt denke ich, dass du die Konsequenzen der Datenerhebung berücksichtigen musst, wenn du weißt, dass du seine Integrität nicht garantieren kannst. Im Idealfall sollten Sie dies aus einer Sicherung wiederherstellen, die vor dem Eindringen erstellt wurde. Wenn Sie das nicht können oder wollen, sollten Sie sehr vorsichtig mit diesen Daten sein, weil sie verdorben sind. Sie sollten sich der Konsequenzen für andere besonders bewusst sein, wenn diese Daten Kunden oder Website-Besuchern gehören und nicht direkt Ihnen.
  5. Überwachen Sie das / die System (e) sorgfältig. Sie sollten dies als einen fortlaufenden Prozess in der Zukunft tun (mehr dazu im Folgenden), aber Sie sind besonders vorsichtig, wenn Sie unmittelbar nach dem Online-Zugriff auf Ihre Website wachsam sind. Die Eindringlinge werden mit ziemlicher Sicherheit zurück sein, und wenn Sie sie wiederfinden können, werden Sie sicher schnell sehen können, ob Sie wirklich alle Löcher, die sie vorher benutzt haben, geschlossen haben, und Sie könnten nützlich sein Informationen, die Sie an Ihre lokalen Strafverfolgungsbehörden weitergeben können.

Verringerung des Risikos in der Zukunft.

Das erste, was Sie verstehen müssen, ist, dass Sicherheit ein Prozess ist, den Sie während des gesamten Lebenszyklus von Entwurf, Bereitstellung und Wartung eines internetbezogenen Systems anwenden müssen, nicht etwas, dass Sie anschließend einige Ebenen über Ihren Code wie billig knacken können Farbe. Um sicher zu sein, müssen ein Service und eine Anwendung von Anfang an als eines der Hauptziele des Projekts konzipiert werden. Mir ist klar, dass das langweilig ist und du alles schon mal gehört hast und dass ich "den Druckmann nicht erkenne", deinen beta web2.0 (beta) Service im Web in den Beta-Status zu bekommen, aber Tatsache ist, dass dies hält sich wiederholen, weil es wahr war, als es das erste Mal gesagt wurde, und es ist noch nicht zur Lüge geworden.

Sie können Risiken nicht eliminieren. Du solltest das nicht einmal versuchen. Was Sie jedoch tun sollten, ist zu verstehen, welche Sicherheitsrisiken für Sie wichtig sind, und zu verstehen, wie Sie beides verwalten und reduzieren können Auswirkung des Risikos und der Wahrscheinlichkeitdass das Risiko eintreten wird.

Welche Schritte können Sie unternehmen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu reduzieren?

Zum Beispiel:

  1. War der Fehler, der es den Benutzern ermöglichte, einen bekannten Fehler im Herstellercode zu beheben, für den ein Patch verfügbar war? Wenn ja, müssen Sie Ihre Vorgehensweise bei der Korrektur von Anwendungen auf Ihren Servern im Internet neu überdenken?
  2. War der Fehler, der es den Benutzern erlaubte, einen unbekannten Fehler im Herstellercode, für den kein Patch verfügbar war, in Ihre Site einzubauen? Ich befürworte ganz sicher nicht den Lieferantenwechsel, wenn dich so etwas beißt, weil sie alle ihre Probleme haben und dir die Plattformen in höchstens einem Jahr ausgehen, wenn du diesen Ansatz nimmst. Wenn Sie ein System jedoch ständig im Stich lässt, sollten Sie entweder zu etwas robusterem migrieren oder zumindest Ihr System so umgestalten, dass empfindliche Komponenten in Watte und so weit wie möglich von feindlichen Augen entfernt bleiben.
  3. War der Fehler ein Programmfehler, der von Ihnen (oder einem für Sie arbeitenden Auftragnehmer) entwickelt wurde? Wenn ja, müssen Sie Ihre Vorgehensweise bei der Genehmigung von Code für die Bereitstellung auf Ihrer Live-Site überdenken? Könnte der Fehler durch ein verbessertes Testsystem oder durch Änderungen an Ihrem Codierungs "Standard" aufgefangen werden (zum Beispiel, während Technologie kein Allheilmittel ist, können Sie die Wahrscheinlichkeit eines erfolgreichen SQL-Injection-Angriffs mit gut dokumentierten Codierungstechniken reduzieren ).
  4. War der Fehler auf ein Problem mit der Bereitstellung des Servers oder der Anwendungssoftware zurückzuführen? Wenn ja, verwenden Sie automatisierte Verfahren, um Server möglichst zu erstellen und bereitzustellen? Dies ist eine große Hilfe bei der Aufrechterhaltung eines konsistenten "Baseline" -Zustands auf all Ihren Servern, wodurch die Menge an benutzerdefinierter Arbeit minimiert wird, die bei jedem einzelnen durchgeführt werden muss, und somit hoffentlich die Möglichkeit eines Fehlers minimiert wird. Gleiches gilt für die Bereitstellung von Code - wenn Sie etwas "Spezielles" benötigen, um die neueste Version Ihrer Web-App zu installieren, dann versuchen Sie, es zu automatisieren und sicherzustellen, dass es immer konsistent erfolgt.
  5. Könnte das Eindringen früher mit einer besseren Überwachung Ihrer Systeme aufgefangen worden sein? Natürlich ist eine 24-Stunden-Überwachung oder ein "Bereitschaftsdienst" für Ihre Mitarbeiter möglicherweise nicht kosteneffektiv, aber es gibt Unternehmen, die Ihre weborientierten Dienste für Sie überwachen und Sie im Falle eines Problems benachrichtigen können. Sie könnten entscheiden, dass Sie sich das nicht leisten können oder es nicht brauchen und das ist in Ordnung ... denken Sie nur daran.
  6. Verwenden Sie Werkzeuge wie Stolperdraht und Nessus - aber benutzen Sie sie nicht blind, weil ich das gesagt habe. Nehmen Sie sich die Zeit zu lernen, wie Sie ein paar gute Sicherheitstools verwenden, die für Ihre Umgebung geeignet sind, halten Sie diese Tools auf dem neuesten Stand und verwenden Sie sie regelmäßig.
  7. Überlegen Sie, ob Sie Sicherheitsexperten einstellen, um regelmäßig die Sicherheit Ihrer Website zu überprüfen. Vielleicht entscheidest du dich auch, dass du dir das nicht leisten kannst oder es nicht brauchst und das ist in Ordnung ... nimm es einfach in Betracht.

Welche Schritte können Sie unternehmen, um die Folgen eines erfolgreichen Angriffs zu reduzieren?

Wenn Sie sich dafür entscheiden, dass das "Risiko" der unteren Etage Ihres Hauses hoch ist, aber nicht hoch genug ist, um sich zu bewegen, sollten Sie zumindest die unersetzlichen Familienerbstücke nach oben bringen. Recht?

  1. Können Sie die Anzahl der direkt dem Internet zur Verfügung gestellten Dienste reduzieren? Können Sie eine Lücke zwischen Ihren internen Diensten und Ihren internetbezogenen Diensten halten? Dies stellt sicher, dass selbst wenn Ihre externen Systeme kompromittiert werden, die Chancen, dass dies als Sprungbrett zum Angriff auf Ihre internen Systeme verwendet wird, begrenzt sind.
  2. Speichern Sie Informationen, die Sie nicht speichern müssen? Speichern Sie solche Informationen "online", wenn sie woanders archiviert werden könnten. Es gibt zwei Punkte zu diesem Teil; Die offensichtliche ist, dass Menschen keine Informationen von Ihnen stehlen können, die Sie nicht haben, und der zweite Punkt ist, dass je weniger Sie speichern, desto weniger müssen Sie pflegen und programmieren, und so gibt es weniger Chancen für Fehler Ihr Code oder Systemdesign.
  3. Verwenden Sie die "Least Access" -Prinzipien für Ihre Web-App? Wenn Benutzer nur aus einer Datenbank lesen müssen, dann vergewissern Sie sich, dass das Konto, das die Webanwendung verwendet, nur Lesezugriff, keinen Schreibzugriff und vor allem keinen Zugriff auf Systemebene hat.
  4. Wenn Sie wenig Erfahrung mit etwas haben und es nicht zentral für Ihr Unternehmen ist, sollten Sie es auslagern. Mit anderen Worten, wenn Sie eine kleine Website betreiben, die über das Schreiben von Desktop-Anwendungscode und den Verkauf von kleinen Desktop-Anwendungen von der Website spricht, dann überlegen Sie, Ihr Kreditkarten-Bestellsystem an jemanden wie Paypal auszulagern.
  5. Wenn möglich, machen Sie die Wiederherstellung von kompromittierten Systemen zu einem Teil Ihres Disaster Recovery-Plans. Dies ist wohl nur ein weiteres "Katastrophenszenario", dem Sie begegnen könnten, einfach eines mit seinen eigenen Problemen und Problemen, die sich von dem üblichen "Serverfeuer" unterscheiden und von gigantischen Serverfressern überfallen wurden. (Bearbeiten, nach XTZ)

... Und schlussendlich

Ich habe wahrscheinlich kein Ende von Dingen gelassen, die andere für wichtig halten, aber die obigen Schritte sollten dir zumindest dabei helfen, Dinge zu klären, wenn du Pech hast, Opfer von Hackern zu werden.

Vor allem: Keine Panik. Denk nach bevor du handelst. Handle entschlossen, wenn du eine Entscheidung getroffen hast, und hinterlasse einen Kommentar, wenn du etwas zu meiner Liste von Schritten hinzufügen musst.


28
2018-06-14 21:00



+1, sehr nett, sehr umfangreich. - Avery Payne
Danke Avery, ich bin mir nicht sicher, ob dein Bild nicht viel schneller dasselbe sagt, aber ich habe gerade keine Wahl mehr! - Rob Moir
Ich wünschte, SF hätte die Möglichkeit, Antworten als Favoriten zu markieren. Es scheint auch, dass es viele Antworten gibt, die ich gesehen habe, dass ich entweder Cross-Post oder Cross-Posted wäre. Wie auch immer, ich bin ein Fan von gründlichen Antworten - du bist besser dran, wenn du alles weißt, anstatt nur ein paar davon zu wissen. - Avery Payne
Eine Sache, die Sie hinzufügen müssen, machen Sie diesen Teil Ihres DR Plans! Kleine Unternehmen haben vielleicht nur wenige Server, daran muss man denken, bevor es passiert. Alles, was man tun kann, ist isolieren, evaluieren, nuken, neu aufbauen. - XTZ
Schöne XTZ, das geht auf die Liste. - Rob Moir


Immer nuke es aus dem Orbit. Nur so kann man sicher sein.

alt text

Die meisten Systeme sind ganzheitliche Entitäten, die ein inneres, implizites Vertrauen haben. Einem kompromittierten System zu vertrauen, ist eine implizite Aussage, der Sie vertrauen, wer auch immer den Bruch Ihres Systems begangen hat. Mit anderen Worten:

Du kannst es nicht vertrauen. Mach dir keine Mühe mit der Reinigung. Trennen und isolieren Sie die Maschine sofort. Verstehen Sie die Art der Verletzung, bevor Sie fortfahren, sonst laden Sie das Gleiche noch einmal ein. Versuchen Sie, wenn möglich, das Datum und die Uhrzeit des Verstoßes zu ermitteln, damit Sie einen Referenzrahmen haben. Sie benötigen dies, denn wenn Sie eine Sicherungskopie von einer Sicherungskopie wiederherstellen, müssen Sie sicherstellen, dass die Sicherungskopie keine Kopie der Sicherungskopie enthält. Wischen Sie vor der Wiederherstellung ab - nehmen Sie keine Verknüpfungen.


18
2018-06-14 20:50





Praktisch tun die meisten Leute das nicht, weil sie denken, dass es zu lange dauern oder zu störend sein wird. Ich habe unzählige Kunden über die Wahrscheinlichkeit von fortdauernden Problemen beraten, aber eine Neuinstallation wird oft von einem Entscheidungsträger aus einem dieser Gründe abgeschossen.

Das heißt, auf Systemen, bei denen ich sicher bin, dass ich die Einstiegsmethode und das volle Schadensausmaß kenne (solide Logs außerhalb der Maschine, typischerweise mit einem IDS, vielleicht SELinux oder etwas Ähnlichem, das den Umfang des Eindringens einschränkt) habe eine Aufräumaktion ohne Neuinstallation durchgeführt, ohne sich zu schuldig zu fühlen.


5
2018-05-08 09:40





Höchstwahrscheinlich haben sie keine Notfallwiederherstellungsroutine, die genug getestet wird, um sich bei einer Wiederherstellung sicher zu fühlen, oder es ist nicht klar, wie lange es dauern würde oder wie die Auswirkungen sein würden ... oder Backups sind unzuverlässig oder ihre Risikoanalysten verstehe den Umfang eines kompromittierten Systems nicht. Ich kann mir viele Gründe vorstellen.

Ich würde sagen, dass es in den grundlegenden Routinen und Richtlinien meistens etwas nicht stimmt, und das ist nicht etwas, was du offen zugeben möchtest - und stattdessen nimmst du eine defensive Haltung ein. Zumindest kann ich nicht sehen oder verteidigen, ein kompromittiertes System nicht abzuwischen, egal in welchem ​​Winkel man es betrachtet.


2
2018-05-08 09:59





Ich habe vorher das System nicht abgetastet, so dass ich eine Analyse des Vektors machen kann, auf den sie gekommen sind, und eine anschließende Analyse des Gebrauchs und um zu sehen, wo sie hineingelangt sind.

Sobald Sie verwurzelt sind - Sie haben einen Live-Honeypot und es kann viel mehr bieten als nur den Hack. - Besonders für die Polizei.

  • das sagte ich war in previligged, in der Lage zu sein, ein sauberes System auf heißem Stand-by zu bekommen und in der Lage zu sein, schnelle erhöhte Netzwerksicherheit anzubieten, um die gerootete Kiste zu isolieren.

2
2018-05-08 11:16